Arten von Vorfällen und Unterstützungsleistungen

Das UniMS-CERT ist berechtigt, alle Arten von Informationssicherheitsproblemen oder -vorfällen mit Bezug zur Universität Münster zu behandeln. Dies beinhaltet bereits erfolgte Vorfälle, wie auch Vorfälle, die noch erfolgen könnten.

Die Unterstützung durch das UniMS-CERT variiert je nach Art und Schwere des Vorfalls oder Problems, der Art des Anfragenden, der Größe der betroffenen Benutzergruppe, dem betroffenen System und den verfügbaren Ressourcen des UniMS-CERT zu diesem Zeitpunkt. Ressourcen werden nach folgenden Prioritäten zugewiesen, die in absteigender Reihenfolge aufgeführt sind:

  • Bedrohungen für die körperliche Sicherheit von Menschen.
  • Root- oder Systemlevel-Angriffe auf Systeme der zentralen Management Struktur oder auf Teile der Backbone-Netzwerkinfrastruktur.
  • Root- oder Systemlevel-Angriffe auf Systeme, die große öffentliche Dienste für mehrere Benutzer oder für bestimmte Zwecke bereitstellen.
  • Kompromittierung von sensiblen Managementkonten oder Softwareinstallationen, z.B. Kennungen oder Systeme zur zentralen Administration.
  • Denial of Service-Angriffe auf einen der drei oben genannten Punkte.
  • Alle oben genannten Vorfälle, die von der Universität Münster ausgehen und fremde Systeme betreffen.
  • Groß angelegte Angriffe jeglicher Art, z.B. Sniffing, Social Engineering oder Password Cracking Angriffe.
  • Drohungen, Belästigungen und andere Straftaten, die individuelle Nutzerkennungen betreffen.
  • Kompromittierung einzelner Nutzerkennung auf Mehrbenutzer-Systemen.
  • Kompromittierung von Desktop-Systemen.
  • Fälschung, Falschdarstellung und andere sicherheitsrelevanten Verstöße gegen örtliche Gesetze und Vorschriften, z.B. Urheberrechtsverletzungen oder Fälschung von E-Mails.
  • Denial of Service-Angriffe auf einzelne Nutzerkennungen, z.B. durch Mailbombing.

Anderen Arten von Vorfällen, die oben nicht genannt wurden, wird eine Priorisierung anhand der erkennbaren Schwere und dem möglichen Ausmaß zugeordnet. Die Klassifizierung orientiert sich grob an der Incident Classification [en] des Trusted Introducer (TI).

Die Reaktion auf Vorfälle unterscheidet zwischen Systemen im Intranet und im Einwahlbereich:

  • Intranet: Sobald das UniMS-CERT den Hinweis auf einen Vorfall bei Mitarbeiter*innen-Rechnern oder ein Serversystem erhält, wird versucht die/den technisch Verantwortliche*n telefonisch zu erreichen, um mit ihr/ihm die nötigen Maßnahmen und ggf. die Abschaltung des Systems abzusprechen. Ist der/die Verantwortliche nicht erreichbar, wird das Endgerät netzseitig getrennt und der/die technisch Verantwortliche und die zuständige Informationsverarbeitungs-Versorgungseinheiten (IVV) werden per E-Mail mit Informationen zum Vorfall und den zu ergreifenden Maßnahmen benachrichtigt.
  • Einwahlbereich: Bei Vorfällen im Einwahlbereich (VPN, WLAN, etc.) wird direkt eine evtl. bestehende Verbindung getrennt und eine Einwahl-Sperre für die betroffene Nutzerkennung bis zur Klärung des Vorfalls gesetzt. Andere Funktionen wie E-Mail, Prüfungsanmeldung oder Nutzung von Uni-Rechnern, sind durch die Sperre nicht betroffen. Auch in diesem Fall wird eine Informations-E-Mail verschickt mit genauen Hinweisen auf die Art des Vorfalls und die zur Freischaltung zu ergreifenden Maßnahmen.

Es wird darauf hingewiesen, dass das UniMS-CERT in der Regel keine direkte Unterstützung der Endnutzer*innen bietet. Endnutzer*innen sollten sich dafür an ihre*n zuständige*n Systemadministrator*in der IVV, die/den zuständige*n IV-Sicherheitsbeauftragte*n (IV-SB), die IT Nutzerberatung oder die Leitung der jeweiligen Abteilung wenden. Das UniMS-CERT unterstützt diese.

Das UniMS-CERT ist sich bewusst, dass die Kenntnisse der Systemadministrator*innen an der Universität Münster sehr unterschiedlich sind, und obwohl das UniMS-CERT sich bemüht, Informationen und Unterstützung auf einer für jede Person geeigneten Stufe zu präsentieren, kann es keine Systemadministrator*innen ad-hoc schulen oder Wartungen an den Systemen für sie durchführen. In der Regel liefert das UniMS-CERT allerdings Hinweise auf die Informationen, die zur Umsetzung geeigneter Maßnahmen erforderlich sind. Systemadministrator*innen sollen sich primär an die/den IV-Sicherheitsbeauftragte*n (IV-SB) des Bereichs wenden.

Das UniMS-CERT verpflichtet sich dazu, die IV-Sicherheitsbeauftragten (IV-SB) und Systemadministrator*innen der Universität Münster über potentielle Schwachstellen zu informieren. Soweit möglich werden diese Informationen über die interne Mailingliste iv-sicherheit@uni-muenster.de verteilt, idealer Weise bevor diese Schwachstellen aktiv ausgenutzt werden.